Statische Codeanalyse (SAST) von Open Source Software
Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir die Open-Source-Anwendungen Vaultwarden und Keepass mit den Mitteln der Statischen Codeanalyse sowie der Durchführung dynamischer Analysen (Pentests) auf deren Sicherheit untersucht. Dabei wurden bei Vaultwarden zwei Schwachstellen mit erhöhtem Gefahrenpotential und mehrere weitere sicherheitsrelevante Probleme entdeckt, die den Entwicklern sofort gemeldet und größtenteils behoben wurden. Bei Keepass wurden ebenfalls einige, wenn auch weniger schwerwiegende, Sicherheitsprobleme festgestellt. Das Projekt zielt darauf ab, die Sicherheit populärer Open-Source-Software zu verbessern, insbesondere für Anwendungen, die von Behörden oder Privatanwendern genutzt werden. Die Initiative wird mit weiteren Open-Source-Anwendungen fortgesetzt.
Die Analyse wurde im Frühjahr/Sommer 2024 durchgeführt und am 14.10.24 veröffentlicht.